安全公告/【CVE-2017-5647】

基本信息

漏洞描述

Tomcat在使用发送文件时处理流水线请求的错误导致了在完成前一个请求的发送文件处理时流水线请求丢失。这可能会导致响应出现错误的请求。例如，发送请求A，B和C的用户代理可以看到请求A的正确响应，请求B对请求B的响应以及对请求C没有响应。

修复方式

1.将 Tomcat 升级到 6.0.53、7.0.77、8.0.43、8.5.13、9.0.0.M19 及以上版本，下载地址：http://archive.apache.org/dist/tomcat/
2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。
  参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级：
  CentOS/RHEL/Oracle Linux : sudo yum update -y 需要升级的软件包名(参考检测结果)
  SUSE : sudo zypper update -y 需要升级的软件包名(参考检测结果)
  Ubuntu/Debian : sudo apt-get update && sudo apt-get install --only-upgrade -y 需要升级的软件包名(参考检测结果)
  例：若漏洞的检测结果中主机系统为 RHEL 6，软件包名称为 tomcat6，当前安装版本为 6.0.24-56.el6_9，对应漏洞修复版本为 6.0.24-111.el6_9，则漏洞修复命令为  sudo yum update -y tomcat6

漏洞判定

版本比对检测原理：检查当前系统中Tomcat版本是否在受影响版本内|版本比对检测结果：- tomcat
  当前安装版本：7.0.53
  应用相关信息：
  - 安装目录：/home/bea/tomcat/apache-tomcat-7.0.53
  - 配置文件路径：/home/bea/tomcat/apache-tomcat-7.0.53/conf/server.xml
  - 进程PID：26501
  - 二进制文件路径：/usr/jdk1.8.0_51/bin/java
- tomcat
  当前安装版本：7.0.53
  应用相关信息：
  - 安装目录：/home/bea/tomcat/apache-tomcat-7.0.53
  - 配置文件路径：/home/bea/tomcat/apache-tomcat-7.0.53/conf/server.xml
  - 进程PID：19844
  - 二进制文件路径：/usr/jdk1.8.0_51/bin/java
该主机存在此漏洞

参考

CVE-2017-5647，CNVD-2017-05037，CWE-200，CNNVD-201704-862